Qu’est-ce que la sécurité des bases de données ?

La sécurité des bases de données doit address et protéger les éléments suivants :

• Les données intégrées à la base de données.
  
• Le système de gestion de base de données (SGBD).
  
• Toutes les applications associées.
  
• Le serveur de base de données physique ou le serveur de base de données virtuel et le matériel sous-jacent.
  
• L’infrastructure informatique ou du réseau utilisée pour accéder à la base de données.

La sécurité des bases de données est un élément complexe et délicat qui couvre tous les aspects des technologies et des pratiques de sécurité de l’information. De manière naturelle, elle est aussi en contradiction avec la facilité d’utilisation de la base de données. Plus la base de données est accessible et utilisable, plus elle est vulnérable aux menaces de sécurité. À l’inverse, plus la base de données est hermétique aux menaces, plus son accès et son utilisation sont difficiles. Ce paradoxe est parfois appelé règle d’Anderson.

Par définition, une violation de données est une incapacité à maintenir la confidentialité des données dans une base de données. L’ampleur des dommages causés par une violation de données à votre entreprise dépend de diverses conséquences ou facteurs :

• Propriété intellectuelle compromise : votre propriété intellectuelle (secrets commerciaux, inventions, pratiques exclusives) peut être mise à rude épreuve pour préserver votre compétitivité. Si cette propriété intellectuelle est dérobée ou exposée, votre avantage concurrentiel peut être difficile, voire impossible, à maintenir ou à récupérer.
  
  
• Dommage sur la réputation de la marque : les clients ou les partenaires peuvent être réticents à acheter vos produits ou services (ou à faire affaire avec votre entreprise) s’ils estiment que vous n’êtes pas capable de protéger vos données ou les leurs.
  
  
• Continuité des activités (ou absence de continuité) : certaines entreprises ne peuvent pas continuer à fonctionner tant qu’une violation n’est pas résolue.
  
  
• Amendes ou pénalités en cas de non-conformité : l’impact financier du non-respect des réglementations internationales telles que la loi Sarbannes-Oxley (SAO) ou la norme de sécurité des données Payment Card Industry Data Security Standard (PCI DSS), des réglementations sectorielles sur la confidentialité des données telles que l’HIPAA ou des réglementations régionales sur la confidentialité des données, telles que le Règlement général sur la protection des données (RGPD) en Europe, peut être dévastateur, avec, dans le pire des cas, des amendes dépassant plusieurs millions de dollars par violation.
  
  
• Coûts liés à la réparation des violations et à la notification des clients : outre les frais liés à la communication d’un événement de ce type au client, une organisation victime d’une violation doit payer les analyses légales et les enquêtes, la gestion des crises, le triage, la réparation des systèmes concernés, etc.

De nombreuses erreurs de configuration des logiciels, des vulnérabilités ou des modèles de négligence ou d’utilisation abusive peuvent entraîner des violations. Voici quelques-uns des types ou causes d’attaques de sécurité des bases de données les plus répandus.

Une menace interne est une menace de sécurité provenant de l’une des trois sources suivantes ayant un accès privilégié à la base de données :

• Un initié malveillant qui a l’intention de mauvaises intentions.
  
• Un initié négligent qui expose la base de données à des attaques en commettant des erreurs.
  
• Un infiltré, un étranger qui obtient des informations d’identification d’une manière ou d’une autre par le biais d’un stratagème, tel que le phishing ou en accédant à la base de données des informations d’identification elle-même.

Les menaces internes sont l’une des causes les plus courantes des violations de la sécurité des bases de données et résultent souvent du fait qu’un trop grand nombre d’employés détiennent les informations d’identification des utilisateurs privilégiés.

Les accidents, les mots de passe faibles, le partage de mots de passe et les autres comportements imprudents ou non informés des utilisateurs restent la cause de près de la moitié (49 %) de l’ensemble des violations de données recensées.

Les pirates informatiques gagnent leur vie en trouvant et en ciblant les vulnérabilités dans toutes sortes de logiciels, y compris les logiciels de gestion de bases de données. Tous les principaux éditeurs de logiciels de bases de données commerciales et plateformes de gestion de bases de données open source publient régulièrement des correctifs de sécurité pour corriger ces vulnérabilités, mais le fait de ne pas appliquer ces correctifs en temps voulu peut accroître votre exposition.

Il s’agit d’une menace spécifique aux bases de données qui implique l’insertion de chaînes d’attaque SQL ou non SQL arbitraires dans les requêtes de base de données qui sont traitées par des applications Web ou des en-têtes HTTP. Les organisations qui ne suivent pas de bonnes pratiques de codage d’applications Web et qui n’effectuent pas de tests de vulnérabilité réguliers s’exposent à ces attaques.

Le dépassement de tampon se produit lorsqu’un processus tente d’écrire dans un bloc de mémoire de longueur fixe plus de données que ce qu’il est autorisé à contenir. Les attaquants peuvent utiliser les données excédentaires, stockées dans des adresses mémoire adjacentes, en tant que base de lancement des attaques.

Un logiciel malveillant est un logiciel écrit spécifiquement pour profiter des vulnérabilités ou endommager la base de données. Les logiciels malveillants peuvent arriver via n’importe quel point de terminaison connecté au réseau de la base de données.

Les organisations qui ne parviennent pas à protéger les données de sauvegarde avec les mêmes contrôles rigoureux que ceux utilisés pour protéger la base de données elle-même peuvent être vulnérables aux attaques des sauvegardes.

Ces menaces sont exacerbées par les facteurs suivants :

• Volumes de données croissants : la saisie, le stockage et le traitement des données continuent de croître de façon exponentielle dans presque toutes les organisations. Tous les outils ou pratiques de sécurité des données doivent être hautement évolutifs pour répondre aux besoins futurs, à court ou long terme.
  
  
• Une infrastructure dispersée : les environnements réseau deviennent de plus en plus complexes, surtout lorsque les entreprises déplacent leurs charges de travail vers des architectures multicloud ou le cloud hybride, ce qui rend le choix, le déploiement et la gestion des solutions de sécurité encore plus difficiles.
  
  
• Des contraintes réglementairestoujours plus strictes : dans le monde entier, les réglementations en matière de conformité continuent de gagner en complexité, rendant plus difficile le respect de toutes les obligations.
  

Dans une attaque par déni de service (DoS), l’attaquant submerge le serveur cible (dans le cas qui nous intéresse ici, le serveur de base de données) avec une telle quantité de requêtes que le serveur ne peut plus répondre aux requêtes légitimes des utilisateurs réels, et, souvent, le serveur devient instable ou tombe en panne.

Dans le cas d’une attaque par déni de service distribué (DDoS), le déluge provient de plusieurs serveurs. Il est donc encore plus difficile de stopper l’attaque.

Les bases de données étant accessibles sur le réseau, toute menace de sécurité visant un composant au sein ou dans une partie de l’infrastructure réseau est également une menace pour la base de données, et toute attaque affectant l’appareil ou le poste de travail d’un utilisateur peut menacer la base de données. La sécurité des bases de données doit donc s’étendre bien au-delà des limites de la base de données seule.

Lorsque vous évaluez la sécurité des bases de données dans votre environnement pour déterminer les principales priorités de votre équipe, tenez compte des éléments suivants :

• Sécurité physique : que votre serveur de base de données soit sur site ou dans un centre de données cloud, il doit se trouver dans un environnement sécurisé et climatisé. Si votre serveur de base de données se trouve dans un centre de données cloud, c’est votre fournisseur de cloud qui assure sa sécurité pour vous.
  
  
• Contrôles administratifs et d’accès au réseau : le nombre d’utilisateurs ayant accès à la base de données doit être minimal, et leurs autorisations doivent être limitées au minimum nécessaire pour assurer leurs tâches. De même, l’accès au réseau doit être limité au minimum d’autorisations nécessaires.
  
  
• Sécurité des comptes d’utilisateurs et des appareils : vous devez savoir en permanence qui accède à la base de données et quand et comment les données sont utilisées. Les solutions de surveillance des données peuvent vous alerter en cas d’activités inhabituelles ou à risque. Tous les appareils des utilisateurs qui se connectent au réseau hébergeant la base de données doivent être physiquement sécurisés (entre les mains de l’utilisateur désigné uniquement) et soumis à des contrôles de sécurité à tout moment.
  
  
• Chiffrement : toutes les données, y compris les données de la base de données et les données d’identifiants, doivent être protégées par un chiffrement de pointe, qu’elles soient au repos ou en mouvement. La manipulation de toutes les clés de chiffrement doit être conforme aux bonnes pratiques.
  
  
• Sécurité des logiciels de base de données : utilisez toujours la dernière version de votre logiciel de gestion de base de données et appliquez tous les correctifs lorsqu’ils sont publiés.
  
  
• Sécurité des applications et des serveurs Web : toute application ou serveur Web qui interagit avec la base de données peut être un canal d’attaque et doit être soumis à des tests de sécurité continus et à la gestion des bonnes pratiques.
  
  
• Sécurité des sauvegardes : toutes les sauvegardes, copies ou images de la base de données doivent être soumises aux mêmes contrôles de sécurité (ou tout aussi stricts) que la base de données elle-même.
  
  
• Audit : enregistrez toutes les connexions au serveur de base de données et au système d’exploitation, et consignez également toutes les opérations effectuées sur les données sensibles. Des audits des normes de sécurité des bases de données doivent être effectués régulièrement.

Outre la mise en œuvre de contrôles de sécurité multicouches pour l’ensemble de votre environnement réseau, la sécurité des bases de données repose sur l’établissement de contrôles et de politiques appropriés obligatoires pour accéder à la base de données elle-même. Notamment :

• Contrôles administratifs pour gérer l’installation, les modifications et la configuration de la base de données.
  
  
• Contrôles préventifs pour régir l’accès, le chiffrement, la tokenisation et le masquage.
  
  
• Contrôles de détection pour surveiller l’activité des bases de données et les outils de prévention des pertes de données. Ces solutions permettent d’identifier et d’alerter sur les activités anormales ou suspectes.

Les politiques de sécurité des bases de données doivent être intégrées et soutenir les objectifs généraux de votre entreprise, tels que la protection des éléments critiques de propriété intellectuelle, vos politiques de cybersécurité et vos politiques de sécurité cloud. Désignez une personne responsable du maintien et de l’audit des contrôles de sécurité au sein de votre organisation et assurez-vous que vos politiques complètent celles de votre fournisseur de cloud dans le cadre d’accords de responsabilité partagée. Les contrôles de sécurité, les programmes de formation et de sensibilisation à la sécurité, les tests d’intrusion et les stratégies d’évaluation de la vulnérabilité doivent tous être mis en place pour soutenir vos politiques de sécurité formelles.

Aujourd’hui, un large éventail de fournisseurs proposent des outils et des plateformes de protection des données. Une solution à grande échelle doit inclure toutes les fonctionnalités suivantes :

• Découverte : recherchez un outil capable d’analyser et de classer les vulnérabilités de toutes vos bases de données, qu’elles soient hébergées dans le cloud ou sur site, et proposez des recommandations pour remédier aux vulnérabilités identifiées. Les capacités de découverte sont souvent nécessaires pour se conformer aux exigences de conformité réglementaire.
  
  
• Contrôle de l’activité des données : la solution doit être en mesure de surveiller et d’auditer toutes les activités liées aux données dans toutes les bases de données, que votre déploiement soit sur site, dans le cloud ou dans un conteneur. Elle doit vous alerter en temps réel sur les activités suspectes afin que vous puissiez réagir plus rapidement aux menaces. Vous aurez également besoin d’une solution capable de faire appliquer les règles, les politiques et la séparation des tâches et qui offre une visibilité sur l’état de vos données grâce à une interface utilisateur complète et unifiée. Assurez-vous que la solution que vous choisissez est capable de générer les rapports dont vous avez besoin pour répondre aux exigences de conformité.
  
  
• Capacités de chiffrement et de tokenisation : en cas de violation, le chiffrement constitue la dernière ligne de défense contre la compromission. L’outil que vous choisirez doit inclure des capacités de chiffrement flexibles capables de protéger les données dans des environnements sur site, cloud, hybrides ou multicloud. Recherchez un outil doté de capacités de chiffrement de fichiers, de volumes et d’applications conformes aux exigences de conformité de votre secteur, ce qui peut nécessiter la tokenisation (masquage des données) ou des capacités avancées de gestion des clés de sécurité.
  
  
• Optimisation de la sécurité des données et analyse des risques : un outil capable de générer des informations contextuelles en combinant les informations relatives à la sécurité des données et des analyses avancées vous permettra d’optimiser, d’analyser les risques et de créer des rapports en toute simplicité. Choisissez une solution capable de conserver et de synthétiser de grandes quantités de données historiques et récentes sur le statut et la sécurité de vos bases de données, et recherchez une solution capable d’offrir des fonctionnalités d’exploration des données, d’audit et de production de rapports via un tableau de bord en libre-service complet et convivial.